Informes sobre spam y phishing

El spam en el segundo trimestre de 2008

Principales tendencias:

  1. En el segundo trimestre de 2008, el porcentaje de spam en el correo electrónico ha descendido en comparación con el trimestre anterior, alcanzado el 82,5%
  2. El porcentaje de cartas phishing es de aproximadamente 1,77%, de las cuales un 0,41% contenía adjuntos y enlaces nocivos.
  3. En Rusia, ha confirmado una nueva categoría de spam: la publicidad de artículos de lujo.
  4. Los spammers mejoran la calidad de su publicidad para generar mayor interés.
  5. Los sitios más populares de Internet se han convertido en un canal de publicidad para los spammers.
  6. Ciertas categorías típicas del spam del correo electrónico han aparecido en otro tipo de canales como el ICQ.

El spam en el correo electrónico

En el segundo trimestre de 2008, el porcentaje medio de spam en el tráfico de correo es del 82,5%. Recordamos que en el primer trimestre el 88% de las cartas electrónicas eran spam. El índice máximo fue registrado el 9 de abril con un 93,9%; mientras que el mínimo, 64,2%, se detectó el 3 de mayo.



Porcentaje de spam en Rusia, segundo semestre de 2008

El porcentaje de spam en el tráfico de correo se redujo considerablemente a finales de abril y a principios de mayo de 2008. A mediados de junio, los índices del spam aumentaron ligeramente pero no llegaron a alcanzar el nivel de principios de abril. Es posible que esta reducción tenga carácter estacional. Hace varios años, se observó la reducción de los índices de spam a finales de la primavera (en el hemisferio norte) y la vuelta a sus valores anteriores a principios del otoño. Pero, desde 2006, esta tendencia ha desaparecido y sólo se detecta una drástica reducción del índice de spam a finales de fin de año, coincidiendo con las fiestas.

Asumiendo que las fluctuaciones en el spam registrado en este segundo trimestre de 2008 son estacionales, esperamos que, durante el periodo estival, los niveles de spam en el correo electrónico se mantengan bajos. El porcentaje medio de cartas con phishing es de aproximadamente 1,77%, de las cuales un 0,41% contenía adjuntos nocivos y enlaces a sitios nocivos.

Categorias de spam



Distribución temática del spam, segundo trimestre de 2008

Los temas que lideran en el spam son:

  1. Medicinas, fármacos y otros bienes y servicios relacionados con la salud –spam sanitario- (22,7%).
  2. Educación (14,3%).
  3. Imitaciones de artículos de lujo (11,3%)
  4. Ocio y Turismo (9,6%).
  5. Publicidad de servicios spam (4,9%)

La publicidad relacionada con los artículos de lujo, tan popular en occidente, ha calado recientemente en Rusia. La aparición de este negocio en Rusia provocó que el spam en esta categoría aumentara de tal forma que, en marzo de 2008, nos vimos obligados a agregar la categoría “Reproducciones de artículos de lujo”.Vale decir que los spammers rusos usan formas originales para atraer a los compradores, por ejemplo, ofrecen comprar “relojes como el de Putin” o “un teléfono como el de Bill Gates”

La diversidad del spam delictivo

En el segundo trimestre de 2008, los anuncios de servicios delictivos, de estafa y de phishing nos sorprenden por la diversidad de su contenido. En el spam se pueden encontrar, por ejemplo, cartas con ofertas para enseñar a los usuarios a obtener las contraseñas de correo o ICQ; cartas en las que los spammers tratan de que las posibles víctimas se conviertan en cómplices en operaciones de blanqueo de dinero y, por supuesto, cartas phishing cuyo objetivo es robar el dinero o los datos personales de los usuarios. En las cartas fraudulentas, los spammers usan nombres conocidos por todos e inventan nuevas razones para inducir a los usuarios a enviarles dinero.

He aquí uno de los intentos de robar datos personales a los usuarios:



Una vez más, nos gustaría advertir a los usuarios de Internet: si en el mensaje se le pide, con cualquier pretexto, enviar dinero, la probabilidad de que la carta sea fraudulenta es más que elevada. Y hay que tener todavía más cuidado si se pide el envío de dinero de forma urgente, amenazando con eliminar la cuenta del usuario o aduciendo otras sanciones. Tampoco hay que ser ingenuos y escribir y enviar los datos personales al primero que lo pida por escrito.

La calidad del spam

Cada vez en mayor medida, los spammers tratan de hacer que la publicidad que envían sea más variada y tenga un aspecto más atractivo. Esta tendencia es más notable en la publicidad que los propios spammers envían de sus servicios. Así, en junio tuvo lugar una campaña publicitaria de ciertos spammers de Moscú: se enviaban al mismo tiempo mensajes que contenían sólo texto, spam en forma de tablas y spam en forma de imágenes muy logradas desde el punto de vista de su calidad y estética. En cambio, los spammers de otros países no aspiran a impresionar a sus potenciales clientes: la publicidad de los servicios de spam en inglés contiene simplemente mensajes de cortos de texto.

Pero, los spammers usan diferentes trucos, aparte de la “presentación”: por ejemplo, camuflan las cartas para que parezcan cartas personales y explotan el interés de los destinatarios por los eventos de importancia que ocurren en el mundo.

A continuación, presentamos uno de los más claros ejemplos de la reacción de los spammers ante los acontecimientos que despiertan el interés general: durante la Eurocopa 2008, el tema del fútbol fue ampliamente explotado por los spammers para llamar la atención y despertar el interés por sus servicios.



Mailings masivos que siempre cuelan.
Todos aquellos que contraten un emailing antes del 26 de junio: si Rusia gana a España, consigues un
mailing gratis. Para contratar el servicio o para más información, por favor llame al XXXXXx)

El deseo de hacer la publicidad más atractiva influye en la tecnología y los métodos que usan los spammers. Uno de los principales retos a los que han de enfrentarse es la necesidad de hacer que cada carta sea única, ya que esto aumenta las posibilidades de burlar los filtros antispam. Antes, los intentos de eludir los filtros antispam provocaban que el texto fuera prácticamente ilegible. Pero, en estos días, los spammers tratan de no sacrificar el aspecto externo de la publicidad y recurren con menos frecuencia a los trucos tradicionales, como la deformación del texto, la duplicación de letras, etc. En otros informes ya hemos comentado la inclusión de etiquetas html aleatorias para crear mensajes únicos. Pero no es el único.

Para conseguir que cada carta sea única sin afectar al texto, los spammers cambian algunos caracteres en el enlace que lleva al sitio web publicitado y los reemplazan con códigos de Unicode. Los caracteres reemplazados se eligen al azar y por eso cada enlace es diferente a todos los demás, aunque todos conducen al mismo sitio web. Algunos programas de correo muestran los códigos Unicode como la letra correspondiente, así que los usuarios de estos programas al abrir los mensajes los visualizarán como si fueran nombres o direcciones comunes.

Enlace de una carta dónde los caracteres
en la dirección han sido reemplazados por códigos Unicode:
Dirección del sitio sin caracteres reemplazados:
http://%62%65s%74erot%69%63%2enam%65 http://besterotic.name

Publicidad spam

El spam ya ha superado y traspasado las barreras del correo electrónico. Antes, se se limitaba el spam de correo a las notificaciones en foros; pero ahora los recursos que se usan son mucho más amplios y abarcan otros muchos canales.

Blogs y aplicaciones ofimáticas gratuitas

Hoy en día, los grandes proveedores de servicios de correo electrónico han ampliado su oferta de productos y servicios complementarios con el fin de generar nuevos usuarios y ganar en popularidad: blogs, aplicaciones ofimáticas, tablón de anuncios, etc. En el segundo trimestre de 2008, los spammers empezaron a insertar su publicidad en las páginas de estos servicios gratuitos y enviar mensajes que sólo contenian enlaces a las mismas. Los spammers contaban con que los filtros antispam no bloquearían las cartas con enlaces a recursos tan populares comoo Google docs o blogs.mail.ru.

Actualmente, los spammers se concentran sobre todo en servicios nuevos que todavía tienen agujeros en sus sistemas de protección. Servicios de blogs tan conocidos como livejournal o liveinternet fueron prácticamente ignorados por los spammers ya que es muy difícil darse de alta de forma automática y también porque los blogs con spam apenas duran y son bloqueados muy rápidamente.

Redes sociales

Las redes sociales han emergido como un canal más de envio de spam. Los spammers ponen sus anuncios en las redes sociales y envían mensajes spam con los correspondientes enlaces.

En estos casos, la aparición del spam está condicionada por la política o reglas que establecen los administradores de ciertas redes sociales, cuyos usuarios pueden aumentar su rating o recibir bonus si consiguen que otros usuarios se den de alta en la red. En este caso, el spam de correo se usa para enviar invitaciones al mayor número posible de personas y contactos. Los enlaces de estos mensajes llevan a una página dónde el usuario puede registrarse en la red como invitado de aquel que utilizó el envío masivo de correo/spam.

Los cibercriminales están aprendiendo a explotar todas las posibilidades que ofrecen las redes sociales. Por ejemplo, envían cartas que son copias casi exactas de las notificaciones que remiten los administradores de las redes sociales. Los usuarios no sospechan que estos comunicados son falsos y siguen los enlaces incluidos en la carta que, muy probablemente, conducen a sitios web infectados o a páginas phishing.

Así, en el segundo trimestre de 2008 se observó un envío masivo de cartas idénticas a las notificaciones del sitio “Odnoklassniki.ru”, la versión rusa de Facebook. Las cartas contenían un enlace que llevaba sitios con nombres muy similares (odnoklass.ru y odnoklassniks.ru en lugar de odnoklassniki.ru), desde los cuales se trataba de infectar el equipo del usuario con el programa troyano Trojan.Win32.Agent.qxk.

La popularidad de las redes sociales también se utiliza para robar dinero a los usuarios. En uno de los envíos masivos que se han detectado, los estafadores, en nombre de los administradores de la red, instaban a tomar parte en un sorteo enviando un mensaje de texto SMS “gratuito” a un número corto de tarificación especial.

En el futuro, es más que probable que el spam a través de las redes sociales experimente un importante crecimiento.

El spam en ICQ: el spam se extiende a las mensajerías instantáneas

Recientemente, se ha convertido en una práctica habitual promocionar o publicitar los servicios de spam a través del ICQ. Sin embargo, el spam vía ICQ tiene sus peculiaridades derivadas de la propia naturaleza del sistema (que permite enviar sólo mensajes cortos de texto) y por el público al que se dirigen los spammers.

Tradicionalmente, ICQ no es considerado como un canal de comunicación empresarial. Los usuarios de ICQ son gente joven que pasan mucho tiempo en Internet. Por esta razón, en el spam para ICQ, predomina la publicidad relacionada con el ocio y el entretenimiento: spam para adultos “para adultos” (25,9%); invitaciones a sitios web de ocio (18,9%), así como spam que anuncia juegos online y servidores de juego (8,9%). En total, el porcentaje de este tipo de anuncios en ICQ alcanza el 60% de todos los mensajes spam.

Además de lo mencionado anteriormente, el TOP 5 para el segundo trimestre de 2008 incluyen las siguientes categorías: ofertas para ganar dinero en Internet (pulsar en anuncios, visitar sitios web y otras formas de obtener ganancias) y mensajes spam que tienen relación directa con ICQ (propaganda de ICQ 6.x, compra-venta de UINs, etc).



Distribución de las categorías de spam en ICQ ,
segundo semestre de 2008

Las categorías de spam que lideran en el correo electrónico (medicina y publicidad de diferentes bienes y servicios) ocupan los últimos puestos en el spam vía ICQ. Ya en febrero de 2008, la publicidad de medicamentos era muy rara en ICQ, mientras que la publicidad de bienes y servicios se limitaba a teléfonos móviles y servicios informáticos. Sin embargo, con la llegada de la primavera, el spam en ICQ relacionado con medicamentos y bienes y servicios (no se incluyen las ofertas de móviles y productos informaticos ya que están incluidos en otra categoría) empezó a experimentar un importante crecimiento, alcanzando el 9% de todos los mensajes de spam en junio de 2008.



El spam “medicinal” y la publicidad de bienes y servicios suponen hasta el 90% del spam de correo y constituyen la principal fuente de ingresos de los spammers. A juzgar por la dinámica que se aprecia claramente en el diagrama, los spammers profesionales han empezado a utilizar los sistemas de mensajería instantánea y, poco a poco , están ampliando el espectro de servicios ofrecidos a sus clientes.

¿Conseguirá implantarse seriamente el spam en el ICQ? Esto dependerá de cuán efectivos consideren los clientes (es decir, los que usan los servicios de los spammers) que es el spam a través del ICQ o de otras mensajerías instantáneas. En todo caso, es probable que en los próximos meses los spammers de correo continúen ampliando “su territorio” y que en ICQ crezcan los índices de spam de categorías que antes eran propias del correo electrónico.

Conclusiones

Los resultados del segundo trimestre de 2008 testifican que la guerra contra el spam ha entrado en un periodo de relativa calma. Los filtros antispam bloquean la mayor parte del correo basura, y los spammers no disponen de nuevas tecnologías para evadirlos; de modo que se resignan a la efectividad de los envíos existentes. Así, los spammers han aumentado su efectividad gracias al incremento de la calidad de la publicidad enviada, y no gracias a nuevos trucos que permitan eludir los filtros antispam.

Además, los spammers se apropian de nuevos canales de difusión. Hace ya bastante tiempo que usan los foros y mensajerías instantáneas y el spam en las redes sociales ya no es nuevo. A esto hay que sumar las aplicaciones ofimáticas en línea (Google docs) y los blogs de sistemas de correo en los que los spammers publican anuncios, con links a sitios de envíos masivos. Continúa muy activo el desarrollo del spam ICQy otras aplicaciones de similares caracteristicas, y las sinergias de sus contenidos con las temáticas del spam de correo se ha convertido en una tendencia.

Los spammers usan servicios nuevos que han aparecido hace poquísimo tiempo. Este amor por las cosas nuevas está condicionado no sólo por la popularidad que tienen estos servicios entre los usuarios, sino también por las deficiencias de los sistemas de protección.

A pesar de la relativa estabilidad de la situación, el spam sigue siendo una amenaza seria, sobre todo para los usuarios descuidados. Los estafadores, los phishers y los creadores de virus usan hábilmente el spam para alcanzar sus objetivos.

Tras la relativa calma del verano, se espera –en otoño— un aumento del spam en el correo electrónico y los spammers retomarán con nuevas fuerzas sus experimentos tecnológicos. Esperamos que los filtros antispam continúen protegiendo eficazmente de la publicidad no deseada a los usuarios, de la misma forma que lo han hecho hasta ahora.

El spam en el segundo trimestre de 2008

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada